7.1 In grote lijnen
We hebben aangewezen waar het bestuursrechtelijke bouwwerk onder druk komt te staan wanneer de samenleving en de overheid digitaliseren. Wat naar voren komt is de betekenis van de kwaliteit van iemands infor-matiepositie wanneer het gaat om het verwezenlijken van zijn rechtsposi-tie. Daarbij speelt een drietal categorieën van vragen, zijnde:
– vragen van institutionele aard (bestuursrechtelijke instrumenten lijken in sommige gevallen bijvoorbeeld ontoereikend);
– vragen van vereiste kennisniveaus (ook hier schieten traditionele rechtsmiddelen tekort, zo laat het zich aanzien);
– vragen van bestuursmorele aard (een bestuurlijke bedrijfscultuur die opgewassen is tegen de verlokkingen die de digitalisering met zich mee brengt).
Waar we mee te maken krijgen is dat complexiteit en kennisgebreken bestuursrechtelijk op een zorgvuldige manier moeten kunnen worden behandeld. We weten nog niet goed hoe, maar denken dat daaraan vanuit verschillende richtingen wel kan worden bijgedragen. Bijvoorbeeld door weldoordachte mechanismen te organiseren voor het inrichten van bestuur-lijke taken, in gezamenlijkheid met ofwel specialistische overheidsdien-sten ofwel gespecialiseerde commerciële dienoverheidsdien-sten. En bovendien door het inrichten van weldoordachte kaderscheppende mechanismen voor het outsourcen van publieke dienstverlening, maar dan zonder het politiek en
98. We doelen op de storing van 20 november 2015 bij banken en belastingdienst, waardoor mogelijk zo een 7 miljoen toeslagengerechtigden werden geraakt. Over de oorzaak ervan werd opmerkelijk zuinigjes gerapporteerd. Zie o.a. RTL-nieuws, ‘Toeslagen later overgemaakt door storing Belastingdienst’, 20 november 2015, te vinden via http:// www.rtlnieuws.nl/nieuws/binnenland/toeslagen-later-overgemaakt-door-storing-belas-tingdienst (geraadpleegd 1 januari 2016).
bestuurlijk weglekken van verantwoordelijkheden. We zijn daar nog lang niet, zo blijkt uit de zorgwekkende afhankelijke positie die overheden innemen ten opzicht van bijvoorbeeld ondernemingen als Diginotar en Ordina of, als het gaat om van cybersecurity, van een specifieke dienstver-lener als Fox IT.
We kunnen de rollen van de verantwoordelijke individuen onderschei-den in die van burger, ondernemer en bestuurder. We doen dit niet alleen omdat dit onderscheid in toenemende mate ook bij beleid en regelgeving van belang is geworden. Ook voor onze benadering, die ziet op bewust, verantwoord handelen is het van belang om te onderscheiden naar wat tegenwoordig wel prikkels worden genoemd, of in minder tegen de econo-mische discipline aanhangende formulering: motiveringstructuren. Zonder terug te vallen op sociaalwetenschappelijke inzichten kunnen we hier uit de voeten met wat de rechtstraditie heeft opgeleverd. In grote lijnen draagt de individuele burger individueel de verantwoordelijkheid voor wat zij of hij doet, behalve wanneer zij of hij een onderneming met rechtspersoon-lijkheid leidt of ervoor handelt (dan draait het bedrijf ervoor op) en behal-ve wanneer hij of zij als ambtenaar in functie handelt, in welk geval de overheid ervoor opdraait (met dien verstande dat wanneer het een politiek gevoelig mistasten betreft de ministeriële verantwoordelijkheid eveneens in werking kan worden gesteld.)
Wij menen dat het onderscheiden in burger-ondernemer-bestuurder van belang is omdat de onderlinge verschillen in motiveringstructuren aanzienlijk zijn, en hun rollen in termen van onder andere specialisatie en delegatie onontbeerlijk zijn in het steeds complexer wordende netwerk van interacties dat onze samenleving vormt en verwezenlijkt. En we menen ook dat we naast een consumentenrecht-achtige rechtsbescherming voor de homo digitalis ook een vorm van rechtsbescherming moeten kunnen bespreken waarin garanties te vinden zijn dat hij of zij zich op zijn eigen, individuele wijze kan blijven ontplooien en ontwikkelen.
7.2 Kritische aspecten
We hebben in het voorgaande 16 risico’s gevonden waarmee de homo digitalis te maken krijgt. We hebben een aantal mogelijke oorzaken genoemd en in grote lijnen een drietal vraagstukken voor het bestuursrecht en bestuurspraktijk benoemd. En we hebben daarbij aangegeven dat de institutionele inrichting en vertegenwoordigingsarrangementen daarbij een rol spelen.
Wanneer we het in grote lijnen hebben over bestuursrechtelijke rechts-bescherming denken we, als gezegd, aan het legaliteitsbeginsel, de begin-selen van behoorlijk bestuur en grondrechten als kaderscheppend. Kunnen we al die resultaten en overwegingen die we in de vorige paragraaf
opsom-den in verband brengen met de functionaliteiten van één en ander? Om dat overzichtelijk te houden benoemen we eerst een vijftal kritische aspecten. Als eerste is van belang zich te realiseren dat er met de toenemende digitalisering vanuit het gezichtspunt van de verantwoordelijke individu een dynamiek ontstaat in wat hij of zij ervaart als eigen bevoegdheid en opgedrongen verplichtingen. Heel vaak worden efficiency, doeltreffend-heid en controleerbaardoeltreffend-heid als belangen in stelling gebracht. En heel vaak gaat dat ten koste van de discretionaire ruimte (autonomie, vrijheid). Een standaardvoorbeeld in dit verband is de lijst van zogeheten diagnose-behandel-combinaties, waaraan de vergoeding van het werk van een huis-arts is gekoppeld en waardoor de huishuis-arts die betaald wil worden blind moet zijn voor diagnoses die zijn kennis en ervaring hem voorhouden maar die in die lijst niet voorkomen – en zich dan ofwel bij de beperkingen neerlegt, ofwel in de verleiding komen kan om administratieve kunstgre-pen te gaan toepassen die als valsheid in geschrifte kunnen worden geïn-terpreteerd. Wij hebben in dezen geen oordeel over de verhouding autono-mie-veiligheid bij digitale dienstverlening. We wijzen erop dat het gaat om een culturele kwestie die kan veranderen, en die vloeibaar lijkt te kunnen worden onder druk.
Over evenwichtige informatieverhoudingen als kritisch aspect hebben we het meeste wel gezegd in de vorige hoofdstukken. We merken alleen hier nog op dat het gaat om iets dat wel kan worden begrepen wanneer het wordt getoond, maar moeilijk kan worden gedefinieerd. Het zou goed zijn, denken we, wanneer daartoe door de wetgever een poging zou worden gedaan. Het hele begrip verdient hoe dan ook meer aandacht. We leven inmiddels in een wereld waarin de belangrijkste grondstof niet meer olie, maar informatie is.
Over kennisvereisten als broodnodige context voor bestuurlijke
zorgvul-digheid in digitale zaken spraken we reeds. Maar ook over de
omstandig-heid dat de digitale wereld steeds ingewikkelder en complexer wordt en bovendien snel verandert. Het is onzeker in hoeverre van een individu (bestuurder, burger of ondernemer) kan worden verwacht van de meeste digitale zaken voldoende op de hoogte te zijn. Hier openbaart zich de noodzaak van samenwerking, institutionalisering en/of uitbesteding c.q. outsourcing naar specialisten.
Een daarmee samenhangend kritisch aspect is dan de institutionele
inbedding. Economen hebben laten zien dat een rationale benadering
mogelijk is. Oneerbiedig samengevat leiden hun (in respectievelijk 1991 en 2005 Nobelprijswaardig geoordeelde) bevindingen100 tot de volgende heuristieken: (a) organisaties ontstaan voor wat een organisatie (institutie) efficiënter kan doen dan de markt, (b) eenmaal bestaande organisaties besteden iets dat ze nodig hebben uit aan een andere organisatie als daar
een markt voor bestaat en als een uitbestedingsovereenkomst geloofwaar-dig juridisch kan worden gehandhaafd. Die heuristieken lijken mutatis
mutandis zo gek nog niet wanneer wordt nagedacht over institutionele
veranderingen – bijvoorbeeld in het spoor van de Kaderwet zelfstandige bestuursorganen,101 die expliciet werd opgesteld voor het kunnen inrichten van onafhankelijke instituties die over specialistische kennis beschikken102
en voor het kunnen inrichten van bijzondere bestuursdiensten onder de hoede van een of enkele ministeries (we denken aan figuren die tot de inrichting van overheidsinstituten als het CIOT, ICTU en Luris hebben geleid). Trouwens, de ervaringen met die instituties laten zien hoe moeilijk het is om over de departementale grenzen heen werkelijk effectieve samenwerkingsverbanden te realiseren. Kennisdeling, kenniscapaciteit, outsourcing en specialisatie zijn elementen van een belangrijk organisato-risch kernaspect van onze bestuurspraktijk zolang die in transitie is door de digitalisering. Samenwerking over de soms nog parochiaal bewaakte departementale grenzen heen blijkt bovendien extra lastig.
Een ander belangrijk kernaspect van de transitie naar digitalisering betreft de steeds weer opduikende ambities en verwachtingen rond de vol-ledigheid en toekomstbestendigheid van onze inzichten en daarmee samen-hangende maakbaarheden van onderdelen van onze samenleving. Heel vaak wordt dan gedacht in de lijnen van wat we hier de juridische Nirvana
fallacy noemen,103 bijvoorbeeld wanneer wordt aangenomen dat maat-schappelijke problemen door regelgeving kunnen worden opgelost of weg-genomen. Dat dit in de praktijk maar zelden opgaat valt om ons heen waar te nemen. En daarvoor is een bijzondere reden wanneer we kijken naar digitaliseringsprocessen. Die houden altijd in dat er netwerken ontstaan. En dat leidt vooral tot complicaties wanneer de knooppunten in zo’n net-werk zich in verschillende tempi ontwikkelen.
Alles kent zijn tijd. Het gaat om het verwezenlijken van technologische innovatie, de behandeling van een rechtsgeschil, het aanpassen van beleid, van de wet, een cultuuromslag, etc. Dat allemaal loopt niet zonder meer synchroon. En toch hebben al de genoemde processen invloed op elkaar, als ze deel uitmaken van zo’n netwerk.104
101. Stb. 2006, 587.
102. Kamerstukken II 2005/06, 27426, nr. 3. 103. In navolging van Demsetz (1969):1.
104. Een beroemd voorbeeld is de mededingingszaak in de Verenigde Staten die in de jaren 1960 door CDC tegen IBM werd aangespannen en die ging over de beschikbaarstelling van de interface-protocollen voor randapparatuur, zie bijvoorbeeld: Baase (1974). Deze zaak werd na 12 jaar procederen geschikt, op een moment dat er technisch inmiddels heel andere dingen speelden. Voor zover wij kunnen overzien heeft dit voorbeeld zich decennia later in Europa opnieuw voorgedaan in de Microsoft-zaak (Page and Lopatka (2009)). Dit soort complexiteit blijkt lijkt veel hardnekkige politiek-juridische vraagstuk-ken te vraagstuk-kenmervraagstuk-ken (privacy, ICT-aanbestedingen, duurzaamheid, vluchtelingen). Maak-baarheid en voorspelMaak-baarheid blijken beperkt (zie ook Appendix 3).
Er zijn dan dus vragen en onzekerheden over behoud van discretionaire bevoegdheden van gebruikers, over motiveringstructuren en effectieve institutionele inbedding, en over het tegengaan van de juridische Nirvana
fallacy. Eén en ander leidt tot het vermoeden dat we niet al te veel moeten
hopen op een enkele bestuursrechtelijke ‘silver bullet’ waarmee we de problemen snel en effectief uit de wereld kunnen helpen.
Maar dat is niet alles. Er zijn ook meer positieve ‘bottom-up’ ontwikkelin-gen. Ze rusten óók op de mogelijkheden van de digitalisering (denk aan de manier waarop de inhoud van Wikipedia op basis van enkele regels en afspraken door de gebruikers zelf wordt bewaakt op kwaliteit, en tegen kwaadwillige aanvallen105) die zouden kunnen bijdragen aan verbetering van de hanteerbaarheid van de complexiteit. Omdat we menen dat het van betekenis is om daarop te anticiperen bespreken we een mogelijke ontwik-keling hieronder aan de hand van een voorbeeld waarvan het maatschap-pelijk belang moeilijk kan worden overschat: de app-revolutie.
7.3 De app revolutie
We gaan op zoek naar een functionele ontwikkeling in de digitalisering die thans gaande is en waarschijnlijk van grote betekenis gaat worden om de gesignaleerde complexiteit te beteugelen, dat eigenlijk al is en doet, maar die daarbij tegelijkertijd weer nieuwe risico’s voor onevenwichtige infor-matieverhoudingen met zich brengt. We gebruiken die ontwikkeling als demonstratiemateriaal. We kiezen de app-ontwikkeling en geven aan waarom die van zo grote betekenis is voor de verschijningsvormen van de digitale wereld.
Proprietary én open source bedrijfsmodellen voor smartphones: instituti-onele inbedding (i)
In 2007 kwam de eerste iPhone op de markt die werkte op iOS (het
pro-prietary smartphone platform van Apple); in 2008 de eerste HTC die
werkte onder Android (het open source smartphone platform dat Google haast onmiddellijk als tegenhanger van iOS beschikbaar stelde).
Zowel iOS als Android bieden ‘toolkits’ die het vervaardigen van apps ondersteunen en standaardiseren. Beide bieden een distributie-en-betaal-pad. En beide bieden een zekere mate van toezicht op kwaliteit. Vooral het kwaliteitstoezicht én het bedrijfsmodel verschillen: iOS Apps moeten door Apple worden getoetst en gedistribueerd, en een aanmerkelijk percentage van de opbrengst moet aan Apple worden afgedragen. Vergelijkbare inmenging van Android is aanmerkelijk minder of afwezig. Wat
opmerke-105. Zie bijvoorbeeld Heaberlin en DeDeo (2015). Hun aanpak wordt nader geplaatst in Appendix 3.
lijk genoemd kan worden is dat de twee platforms iOS en Android, die naar hun bedrijfsmodel zo verschillen, naar functionaliteit haast niet van elkaar verschillen, althans niet voor de meeste gebruikers c.q. consumen-ten.
Ontwikkeling van Apps vanaf 2007 tot heden
Vanaf 2007, toen de markt voor apps ontstond, is deze stormachtig gegroeid. Medio 2015 wordt gerapporteerd dat in de voorafgaande 12 maanden 25 miljard iOS apps werden gedownload, en 50 miljard apps voor Android. 106 Dat is samen 75 miljard(!) In 2014-2015 werden (op een wereldbevolking van 7.3 miljard) iets meer dan 10 apps per wereldburger gedownload. De platforms iOS en Android, die medio 2014 respectievelijk zeven en zes jaar bestonden, hebben dus een explosieve groei doorgemaakt en voor een explosieve groei gezorgd. We hoeven dan ook niet meer aan juristen uit te leggen wat smartphones en apps zijn. Er zijn, vermoeden wij, maar weinig juristen in Nederland die geen gebruik maken van tenminste één smartphone en een tiental apps of meer.
Smartphones als voorbeeld van Internet of Things: institutionele inbedding (ii)
Apps leveren diensten die zo kunnen zijn ingericht, dat ze samenwerken met andere apps en/of toegang nodig hebben tot informatie van elders (‘the cloud’) en dat voor die samenwerkingsmogelijkheden meestal keurig net-jes toestemming wordt gevraagd en verkregen.107 Dit in overeenstemming met de wettelijke regelingen die de persoonlijke levenssfeer beogen te beschermen.
Maar omdat het verlenen van toestemming is gerelateerd aan het ver-werven van functionaliteit wordt die toestemming doorgaans vrij gemak-kelijk verleend en verkregen. Veel apps vragen en krijgen toestemming om toegang tot foto’s, netwerkfuncties, adressen, locatiegegevens. Eigenlijk weet niemand op dit moment het antwoord op twee belangrijke vragen: (1) wat mogen de app-aanbieders die toestemming kregen met de verkregen gegevens doen en wat niet, en (2) wat doen die app-aanbieders er in feite mee. Het is meer dan aannemelijk dat rechtmatig verkregen (persoons) gegevens worden doorverkocht of -geleverd (doorgaans als voedsel voor de voor consumenten weinig transparante geautomatiseerde carrousels met veilingen van profielinformatie, of als voedsel voor de ook proactief geori-enteerde analyses van politie- en veiligheidsdiensten). En daarmee, dat de
106. Google Play downloads reached 50 billion in the last 12 months, while Apple’s app store downloads totaled 25 billion. Amy Gesenhues on June 16, 2015 at 1:12 pm at: http://marketingland.com/google-play-gaining-ground-against-apple-as-android-app-downloads-outnumber-ios-2-to-1-132307.
wereld van de smartphones een belangrijk voorbeeld is geworden van wat het ‘Internet of Things’ of ‘IoT’108 wordt genoemd.
De ‘use-case’ dimensie
Apps zijn dan, als onderdeel van dat IoT, als knooppuntjes in een wereld-wijd netwerk, een emergent verschijnsel. Het succes is vermoedelijk mede ingegeven door de omstandigheid dat toepassingen in de vorm van apps aan beperkingen onderhevig zijn. Want smartphones hebben – hoewel deze devices qua architectuur volwassen computers zijn – beperkte moge-lijkheden (batterij, schermgrootte, processor, geheugen e.d.), evenals smartphonegebruikers te maken hebben met beperkingen (tijd, aandacht, ICT-kennis, soorten digitale behoeften etc.). Door die wederzijdse beper-kingen op elkaar af te stemmen is een nieuw standaardformaat voor pro-gramma’s (applications d.w.z. ‘apps’) op mobiele apparatuur ontstaan dat buitengewoon effectief en succesvol is. Zo succesvol, dat ze onderweg zijn een nieuwe de facto standaard te worden voor digitale diensten.
Apps zijn doorgaans programma’s met een beperkte functionaliteit, je kunt ze niet voor alles gebruiken, maar wel voor een zogeheten use case, dat wil zeggen: voor een dienst met de dimensie van de een of andere standaardtaak, van iets wat de gebruiker goed kent en vaak doet en waar-voor je een digitaal steuntje in de rug kunt gebruiken. Voor wanneer je wilt weten wat voor weer het is in Den Haag, als je een SMS wilt lezen, een tweet wilt twitteren, wanneer je wilt weten of je nog een mailtje hebt gekregen, of voor het bekijken van je banksaldo, of de digitale post van de belastingdienst.
Het gebruik van dat soort dienstjes is vaak heel intuïtief. Er zijn meer dan een anderhalf miljoen verschillende apps beschikbaar voor Android en vermoedelijk meer dan half zoveel voor iOS. Vaak hebben ze via internet toegang tot de servers en databases van een ‘back office.’ De wereld van computergebruikers is razendsnel aan het veranderen in de richting van een wereld van app-gebruikers.
Standaard objectarchitectuur
De term ‘use case’ laat zich niet gemakkelijk vertalen en is afkomstig uit het domein van de informatica in de jaren 1980, toen er een beweging opkwam onder informatici om programmatuur zo te gaan inrichten dat bouwstenen hergebruikt konden worden. Die bouwstenen werden ‘objec-ten.’ En de standaardarchitectuur van objecten bestaat uit een comparti-ment voor data en voor functionaliteit (‘methods’) en voor input en output (‘message’). Object oriëntatie werd een doorslaand succes, mede doordat in de afgelopen twintig jaar omvangrijke bibliotheken met objecten (en dus: methods) beschikbaar kwamen en omdat computertalen als Java
gericht werden op het bouwen en integreren van objecten. Zowel iOS (met objective C) als Android (met Java) ondersteunen het programmeren van objecten.
Samengevat komt de apps-explosie van 2015 met kansen en met bedrei-gingen. De kansen worden geboden door de ‘use-case’ dimensie van apps, die er tezamen met de standaard objectarchitectuur toe lijkt te leiden dat de digitalisering voor consumenten, bedrijven en dienstaanbieders aanmerke-lijk transparanter kunnen worden dan ze tot nu toe waren, tenminste, wan-ner er standaarden ontstaan voor functies waarvoor toestemming nodig is en voor de protocols waarvan dat soort functies gebruik maken om te communiceren. De bedreigingen bestaan in de kans dat die standaarden
niet ontstaan en niet worden omhelsd, en dat de apps wereld verder tot een
volkomen ondoorzichtige en onveilige kluwen van onderling verbonden diensten (en via die diensten verbonden belangen) zal uitgroeien.
Belangrijke vragen gaan dan natuurlijk in de toekomst ook (en nog steeds) over evenwichtige informatieverhoudingen tussen app gebruikers en app aanbieders. En dat evenwicht berust op het effectief kunnen authen-tiseren van gebruikers, aanbieders en apps, het hebben van toegang, het bestaan van transparantie en van betrouwbare, integere communicatie. We menen dat zulks alleen mogelijk is op basis van effectieve standaarden en
protocols. En we menen dat het bestuursrecht hier een rol heeft te spelen,
al was het alleen maar om bestuurlijke taakvervulling digitaal te kunnen uitvoeren op een digitale wijze die tegelijkertijd recht doet aan elementaire beginselen van bestuurlijk behoren.
7.4 Apps van de overheid
De digitale overheid gaat zelf natuurlijk ook apps aanbieden om haar dienstverlening voor burgers (gebruikers) beschikbaar te maken. De over-heid kan daarbij, eventueel zelfs zonder dat voor te leggen aan wetgever of belanghebbende, informatiefunctionaliteiten inbouwen, zonder om toe-stemming te vragen, dat wil zeggen: de toegang tot de dienst te weigeren wanneer de toestemming niet wordt gegeven. Apps van overheden kunnen, doorgaans zonder democratische of bestuursrechtelijke toetsing, toegang tot informatiefunctionaliteit van burgers en ondernemers claimen. Alsdan kan een situatie ontstaan waarin de machtsverhoudingen tussen het bestuur (als app-aanbieder) en de burger of ondernemer (als app-gebruikers) uit evenwicht raken.
Hier komt opnieuw naar voren wat Locke en Montesquieu van belang oordeelden als randvoorwaarde voor het domesticeren van bestuursmacht: het primaat van de ‘liberty’ (we begrijpen liberty als samengesteld uit vrij-heid en autonomie) boven ‘security’ (wat we begrijpen als samengesteld uit zekerheid en veiligheid). We kunnen ons niet aan de indruk onttrekken dat wat de digitalisering vooral met zich meebrengt een terugkeer is naar